《個人信息保護法》視角下無人機拍攝負載應用的合法性邊界

郭宏璟

（海南大學法學院,海南 海口 570228）

隨著科技的飛速發展，無人機技術逐漸成熟并廣泛應用于各個領域。如何在保障公民隱私權、個人信息安全等合法權益的同時，規范無人機的使用，防止其被用于非法活動，成為學界關注的焦點。《個人信息保護法》作為我國個人信息保護領域的基礎性法律，為明確無人機拍攝負載應用的合法性邊界提供了重要的法律依據。本文將在《個人信息保護法》視角下，探討無人機拍攝負載應用的合法性邊界，以期為相關法律制度的完善提供參考。

1 問題的提出

無人機的起源可以追溯到第一次世界大戰時期，其最初應用于軍事領域。現代意義上的無人機出現于第二次世界大戰之后，在政策推動與生活需求增長的背景下，無人機產業迎來了蓬勃發展時期，產品定位與功能發生了巨變。消費級無人機①的出現極大豐富了人們的生產生活，但也帶來了諸多法律風險。無人機系統由無人駕駛航空器以及與其有關的遙控臺（站）、任務載荷和控制鏈路等共同組成②。不同系統作用下，侵害形式也有所差異，例如無人機墜落傷人、侵害財產權③、無人機相撞④以及利用無人機拍攝負載偷拍⑤等。

在無人機系統中，任務載荷是其重要的組成部分。其中，無人機的主要任務載荷是拍攝負載。有別于傳統拍攝手法，無人機的高分辨率感應攝影拍攝負載及錄音設備帶來的攝錄體驗令人驚奇。但同時這也為無人機侵犯個人信息提供了技術便利。因此，無人機拍攝負載的廣泛使用極易對個人信息權益造成侵害并可能進一步威脅隱私權等人格權利。然而，我國實證法對無人機的規范模式大多參照了傳統航空器的監管模式，即注重“安全”而忽略“風險”防范。

而傳統航空器的監管體系與無人機的監管之間存在諸多矛盾，需要進一步推動無人機監管體系的變革，提供有效可行的制度供給[1]。當前我國實證法上并未就無人機運行過程中產生的個人信息權益侵害等私法責任作出特別規范。有觀點認為可通過完善隱私權救濟路徑為個人信息主體提供私權保護[2]，但僅提供事后救濟措施，難以恢復個人權益的圓滿狀態。因此，如何在實證法的框架下探尋出無人機拍攝負載的私法規制路徑，是當前亟待解決的重要問題。

2 無人機規范體系及實證法保護模式的不足

2.1 無人機規范體系漏洞

當前實證法上的無人機監管體系，可以分為無人機行業準入階段與無人機運行階段。其中，準入監管是指無人機需要滿足一系列前提條件才具備進入空域的合法飛行身份，運行監管是指無人機在進入空域之后應當遵循的操作標準與運行規則[2]。以規范對象分類，可以分為對物的監管和對人的監管，二者分別就無人機的產品標準、準飛條件等和無人機運營主體資質、無人機駕駛員的操作資質等進行規范[3]。盡管規范無人機行業的法律文件數量眾多，但是從宏觀角度看，各個法律文件之間缺乏基本的聯動和協調，體系性的缺失導致同義反復，無法有效填補法律漏洞，并且由于該類法律文件的法律位階較低，法律效力較弱等因素，規范適用的實際效果也不甚理想[4]。

相較于私法規范，實證法中關于無人機法律責任多著墨于公法責任，以《無人駕駛航空器飛行管理暫行條例》⑥（以下簡稱《條例》）這一“有望成為我國對無人機飛行進行監管的高位階、綜合性、系統性、基礎性的立法”[1]為例，《條例》采取罰款、吊銷執照等行政處罰手段對無人機的準入和運行進行規范。而對無人機使用過程中可能產生的民事責任，則僅通過第五十六條⑦確認了損害賠償責任，對于其他的私法責任未置一詞。“這種立法實踐不僅游離于社會公眾的客觀需求之外，也過度消耗了國家的公共資源。”[5]此類強制性手段難以為私人主體所享有，私人主體并不具有相應的權限，更無法應用某些監管工具[6]。科技發展帶來的新型侵權樣態，決定了這樣的規定顯然不利于私主體應對當前圍繞無人機使用產生的糾紛。

縱觀無人機規范體系，有關無人機拍攝負載的私法規范處于真空狀態，未見直接規定之條款。相近規范以《條例》為例，第三十四條第（六）項規定禁止利用無人駕駛航空器非法采集信息。就《條例》第三十四條規范內容而言，“當前無人機監管法律體系通過飛行管理制度對駕駛員進行規制和約束，以規范其在駕駛無人機時對個人信息和公共數據的獲取、儲存、處理、傳輸和利用，但是這些對于智能化無人機來說卻是由人工智能進行的，并不受制于駕駛員的直接指令[4]。”因而該條規定更多表現為倡議性規范，并不具有可操作性。《條例》第三十一條中的“集會人群”如何界定尚不明確，并且并未就拍攝負載的使用提出特殊要求。這也導致無人機拍攝負載的運行以及數據安全等問題的解決缺乏明確的指引。

2.2 私權救濟路徑狹窄

在當前司法實踐中，無人機拍攝負載濫用所造成的權益侵害問題，隱私權保護模式作為可能的救濟路徑最常被援引。首先，就隱私權保護而言，由于傳統的隱私保護法律是在前無人機時代制定的，因而很難直接引用其中的法條去解決無人機隱私侵權問題[7]。現有法條只有在無人機侵入私密空間、干擾私密生活抑或獲取了私密信息的情況下才有適用空間。但在信息時代的背景下，如何理解上述概念是不斷發展的過程，解釋方法和目的的不同往往帶來不同的認定結果。其次，就隱私權侵權來說，事后救濟往往難以恢復私主體的圓滿權益。例如，利用無人機攜帶拍攝負載于小區內航行對鄰居進行偷拍監視甚至是網絡直播⑥，雖然違法行為人被公安機關處以行政拘留，但涉案視頻已廣泛傳播，當事人的權益侵害已難以挽救。最后，通過公權力機關監管“無人機侵犯隱私權”，其效果在很大程度上依賴于執法強度，良好的監管效果意味著大量公共資源的投入[6]，而公共資源投入與無人機數量呈正相關，隨著無人機產業的高速發展，僅依靠公權力機關監管無人機使用實現對隱私權的妥善保護似乎越來越不可能。

因此，人格權的事后救濟路徑僅能在一定程度上遏制、阻卻侵權行為的發生，并不足以妥善解決當下無人機拍攝負載濫用帶來的權益侵害問題。在公法責任之外，私法責任同樣值得被重視，只有通過公私法聯動的綜合治理體系才能夠有效應對科技發展對傳統法律體系帶來的沖擊。

3 無人機拍攝負載的規范體系建構

3.1 《個人信息保護法》第二十六條的擴張解釋

《個人信息保護法》第二十六條規定，“在公共場所安裝圖像采集、個人身份識別設備，應當為維護公共安全所必需，遵守國家有關規定，并設置顯著的提示標識。”該法條為圖像采集設備的規范提供了制度基礎，旨在規范公共場所中圖像采集設備及個人身份識別設備的使用，維護個人信息主體權益。但其規范對象為“在公共場所安裝的圖像采集、個人身份識別設備”，似乎并無規范無人機拍攝負載等移動拍攝設備的空間。但本文結合立法目的以及從比較法的體系觀察，認為該條作為移動拍攝設備的規范基礎具有正當性。

3.1.1 《個人信息保護法》第二十六條的規范目的

現行規范中有關無人機拍攝負載的私法規范的缺失，可通過法律解釋予以填補。自“人臉識別第一案”⑧后，學界和社會公眾對于身份識別設備和圖像采集設備的使用越發關注。如何確保該類設備的使用只對公眾造成最低程度的侵擾，是擺在立法者面前的一道難題。在此種背景下，《個人信息保護法》第二十六條的規定即旨在應對日益增加的圖像采集設備以及個人身份識別設備的濫用亂象，力爭通過“兩項合法性依據”將該類設備的使用限定在個人信息處理的最低限度內。在科技發展的同時盡力實現便利民眾的預想，而非造成公眾權益侵害的后果。因此，基于其規范目的，《個人信息保護法》第二十六條不應僅規范安裝于公共場所的圖像采集、個人身份識別設備，拍攝范圍涉及公共區域的移動圖像采集設備也應受到法律規范。試想，安裝于公共場所的固定圖像采集設備尚且需滿足該行為要求，而拍攝范圍更廣，對于個人權益侵害可能性更大的移動式圖像采集設備卻無須受到規范，豈不是舍本逐末？

3.1.2 比較法上對無人機拍攝負載的規范

對于無人機的運行侵犯個人信息及隱私的風險，比較法上已有諸多有益嘗試。歐盟法上，當前對無人機采取分類監管模式，就個人數據、隱私保護等問題授權成員國作出了細致的規定。并且《通用數據保護條例》（General Data Protection Regulation,GDPR）生效之后也影響著無人機領域處理個人信息的行為，這些法律均對個人數據保護進行了嚴格的要求。在未經許可的情況下，無人機拍攝負載的使用受到極大的限制。在歐盟（EU）2019/945和（EU）2019/947條例等無人機保護專項條例頒布之前，歐盟法上廣泛認為，2000年《歐盟基本權利憲章》將公共場所的閉路監視系統的監視行為視為合法行為，那么如果使用攝像設備對個人在公共場所的行為僅是監控但未錄制就不會侵害當事人的隱私權。如果無人機拍攝負載的使用僅僅監控但不錄像，也應該屬于合法行為（私人場所除外）。如果視頻監控資料被記錄下來，則屬于1995年《歐盟數據保護指令》（95/EC/46）的調整范疇[7]。鑒于當前無人機拍攝負載對個人信息的高度采集以及本地儲存+云儲存模式，自應屬于我國《個人信息保護法》的調整范圍。

美國法認為，任何無人駕駛航空器或無人駕駛航空器系統的運行均應以尊重和保護個人隱私的方式進行，符合美國憲法以及聯邦、州和地方法律⑨。聯邦層面，以美國聯邦航空管理局（Federal Aviation Administration,FAA）為代表的機構宏觀地提出了無人機飛行的行為準則，各州在《無人機隱私和透明度法》《無人機飛行最佳行為準則》的框架之下，紛紛就無人機領域的隱私和個人信息問題作出各有特色的立法嘗試，但總體呈現出對無人機拍攝負載應用的高度限制樣態。加利福尼亞州規定，如果某人未經許可故意進入他人土地、他人土地上空或以其他方式非法侵入他人土地，以捕捉他人從事私人、個人或家庭活動的任何類型的視覺圖像、聲音記錄或其他物理印象，且侵犯行為的方式對合理的人構成冒犯，則該行為人應對實際侵犯隱私行為負責⑩。因此，無論是從個人信息主體授權同意處理抑或具有合理隱私期待的拍攝范圍限制，《個人信息保護法》第二十六條均契合對無人機拍攝負載采取嚴格規制措施的價值取向。

綜上所述，采用《個人信息保護法》第二十六條對無人機拍攝負載予以規制均具有法理上之正當性。除非符合明令的兩項合法性依據，否則不得在公共場所使用無人機進行航拍。通過對攜帶拍攝負載的無人機航行進行事前審查，可以為個人信息權益乃至人格權提供較為全面的保護，預防道德風險和法律風險。

3.2 無人機拍攝負載應用的其他合法性依據

比較法上，針對無人機使用場景的不同，監管上也相應有寬嚴有度的規定?。若忽略無人機的使用場景徑直適用《個人信息保護法》第二十六條對無人機拍攝負載應用進行規范，似有過分妨礙自由之嫌。相較于飛行權利、產業科技發展等，個人信息權益并不具有天然的法益優越性。因此，宜在實證法中尋求劃界條款，明確《個人信息保護法》第二十六條的適用范圍以及借助彈性條款進行利益衡量以破除僵硬制度設計的窠臼，結合無人機的用途，分類監管和構建個人信息合理使用制度，以形成完善且張弛有度的規范體系。

3.2.1 私人事務例外規則

無人機的監管措施應充分平衡飛行權利、產業發展與飛行風險三者的關系。在制度設計中以無人機重量、用途、運行空域為重點對無人機風險予以評估，對不同風險的無人機設置差異化的準入條件和程序[8]。因此，無人機的監管體系本質上是利益衡量后的成果。實證法上的具體表現即為無人機的分類監管措施。全球范圍內大部分國家和地區的無人機立法已采用分類監管的模式。《條例》中也按照性能指標對無人機進行了分類，并進一步采取不同的監管措施。但“微型、輕型、小型、中型、大型”的分類模式仍然是以重量為主，基于此展開的監管模式并未能全面考慮到無人機的使用場景等因素。公務、商業、娛樂休閑等用途產生的飛行風險顯然是不同的。《條例》第五十七條規定的“無人駕駛航空器在室內飛行不適用本條例。”這顯然是監管部門注意到無人機使用場景對監管措施的影響從而提出的豁免條款。

《個人信息保護法》第七十二條亦規定了“私人事務例外規則”以豁免《個人信息保護法》在“私人事務”領域的適用。該制度沿革自GDPR第2條之規定，其背后的法理在于“比例原則”在私法領域的適用。但相較于GDPR的規定，《個人信息保護法》第七十二條之規定缺少“純粹”一詞，隨之帶來的是法律適用解釋立場的不同。因為“合法利益豁免”?條款的存在，歐盟裁判立場對“私人事務例外規則”的適用是十分謹慎的[9]。對“私人事務例外規則”持嚴格解釋立場，“凡是涉及公共領域的圖像采集——例如，涉及公共領域的私人行車記錄儀和配備攝像頭的無人機——無論目的如何，均非GDPR私人事務例外條款中的私人事務。”[10]但我國《個人信息保護法》中并不存在類似利益衡量條款，對“私人事務例外規則”的解釋不宜采取嚴格解釋立場。“尤其《個人信息保護法》第二十六條中將公共領域攝像頭安裝之合法處理理由僅限于‘公共安全’和‘同意’，如此規范背景下，實在不宜嚴格解釋單獨負擔劃界重任的私人事務例外規則。”[11]因而，若無人機使用行為可以被認定為“私人事務”，自然無須受《個人信息保護法》第二十六條的約束。

3.2.2 個人信息合理使用制度

無人機拍攝負載的應用若符合《個人信息保護法》或《中華人民共和國民法典》（以下簡稱《民法典》）所規定的個人信息合理使用情形，則無須受到《個人信息保護法》第二十六條的嚴格限制。

首先，從司法實踐以及比較法視角觀之，應肯定的是，個人信息的合理使用制度能夠作為處理個人信息的合法性前提。在“伊某訴江蘇蘇州某公司個人信息權糾紛案”中，法院認為“被告的行為屬于對已合法公開信息的合理使用”，在個人信息主體明確拒絕信息處理行為之前，該行為具有正當性。域外立法實踐中多設定有利益衡量條款等彈性條款，以擴張個人信息處理行為的合法性依據。例如，GDPR規定的“四類目的條款”?和“合法利益豁免”等。無人機拍攝負載的使用涉及多項個人信息處理行為，因此，合理使用制度自然可以作為其應用的正當性基礎。

其次，個人信息的合理使用制度的體系建構源于《個人信息保護法》與《民法典》的合力。有學者立足《民法典》之規范體系，建構了個人信息合理使用制度[11]；其中，普適性的合理使用制度主要見于《民法典》第九百九十八條及第九百九十九條規定的人格權合理使用制度、第一千零二十條規定的肖像權合理使用制度、第一千零二十三條規定的聲音法益合理使用制度以及第一千零三十六條規定的個人信息合理使用制度。而《個人信息保護法》中的利益衡量條款集中于第十三條的規定，第一款第（一）項規定的知情同意規則以及第（二）項的合同所必需的規則，第（三）項至第（六）項蘊含個人信息處理中的利益衡量，在特定情形下能夠為個人信息處理行為提供正當性基礎。

最后，在規范適用中，《個人信息保護法》與《民法典》是平行適用關系，二者規范的對象不同。對于私法領域規范之沖突，應針對具體沖突事項結合立法目的及基本法律原則進行個別分析，以決定何者優先適用。本文所探討的“無人機拍攝負載侵權問題”行為規范確屬私法領域。當前司法實踐所采用的肖像權、隱私權救濟路徑系對人格權益提供的事后救濟，而對于私權保護而言，提前介入的《個人信息保護法》是防止危險發生，而非針對人格權益的現實加害或者威脅作出回應。所以理應優先適用《個人信息保護法》第二十六條的規定。但如前所述，該條文所確立的行為規范范圍過大，制度適用十分僵化，應擴充個人信息處理行為的合法性依據。因此應充分激活《個人信息保護法》第十三條，發揮利益衡量條款的規范功能，突出第一款第（七）項“法律、行政法規規定的其他情形”的規范引致功能，將《民法典》中的個人信息合理使用制度引入個人信息處理行為的合法性評價體系。例如，并未取得各個信息主體的單獨同意也不是出于維護公共安全的目的，使用無人機拍攝負載進行拍攝，若滿足《民法典》第一千零二十條所規定的合理使用情形，則不應苛責其違法。

4 結語

科技的發展對法律體系帶來的沖擊不言而喻，無人機的出現無疑便利了人們的生產生活，但無人機產業的迅速擴張也意味著法律風險的劇增。對于實證法上規范體系中的無人機拍攝負載規范的私法缺位問題，可通過《個人信息保護法》予以填補。《個人信息保護法》第二十六條為規制“圖像采集設備”提供了規范基礎，應充分激活其規范效用，將移動圖像采集設備納入規范范疇。即除非符合兩項合法性依據，否則不得使用移動拍攝設備進行攝錄。但仍應注意的是，《個人信息保護法》第二十六條規范范圍過大的問題，如果不加以限制容易造成其他法益侵害，應以“私人事務例外規則”作為劃界條款限定《個人信息保護法》的適用范圍。同時，應充分發揮引致條款的作用，以《民法典》的彈性條款擴充個人信息合理使用制度，從而在專門立法出臺之前，構建周延完善的無人機拍攝負載的私法規范體系。

注釋：

①按照無人機應用的不同領域可以分為軍用無人機、民用無人機和消費級無人機。消費級無人機是指從功能上講，適合普通消費者操作控制，入門簡單，主要用于飛行和娛樂以及攝影領域的無人機。

②《無人駕駛航空器飛行管理暫行條例》第六十二條第（七）項：無人駕駛航空器系統，是指無人駕駛航空器以及與其有關的遙控臺（站）、任務載荷和控制鏈路等組成的系統。其中，遙控臺（站）是指遙控無人駕駛航空器的各種操控設備（手段）以及有關系統組成的整體。

③北京市第三中級人民法院（2022）京03民終716號民事判決書；河南省開封市中級人民法院（2017）豫02民終1186號民事判決書。

④遼寧省沈陽市和平區人民法院（2018）遼0102民初12288號民事判決書。

⑤《男子利用無人機直播女子裸居畫面 被行拘10日》，載中國新聞網：https://www.chinanews.com.cn/sh/2017/07-06/8271018.shtml.最后訪問時間：2023年8月13日。

⑥《無人駕駛航空器飛行管理暫行條例》（中華人民共和國國務院 中華人民共和國中央軍事委員會令第761號）。

⑦《無人駕駛航空器飛行管理暫行條例》第五十六條規定：“造成人身、財產或者其他損害的，依法承擔民事責任。”

⑧杭州市富陽區人民法院（2019）浙0111民初6971號民事判決書，杭州市中級人民法院（2020）浙01民終10940號民事判決書。

⑨FAA REAUTHORIZATION ACT OF 2018.SEC.357.UNMANNED AIRCRAFT SYSTEMS PRIVACY POLICY.It is the policy of the United States that the operation of any unmanned aircraft or unmanned aircraft system shall be carried out in a manner that respects and protects personal privacy consistent with the United States Constitution and Federal,State,and local law.

⑩Assembly Bill No.856.CHAPTER 521,An act to amend Section 1708.8 of the Civil Code,relating to privacy.

?例如，澳大利亞的無人機法案規定，將無人機飛行分為娛樂休閑飛行、商業飛行、在自己領地上空飛行三類，詳細規定參見：https://www.casa.gov.au/knowyourdrone，最后訪問時間：2023年8月21日；美國法上將無人機飛行分為公共運行、民用運行和娛樂行為，詳細規定參見：https://www.faa.gov/uas，最后訪問時間：2023年8月21日。

?GDPR第6條第1款規定“為實現數據控制者或第三方合法利益”，可無須征得數據主體同意而對數據主體的個人信息進行處理。

?GDPR第85條第1款授權成員國可以在新聞、學術、藝術和文學四種目的之下的個人信息處理領域，制定兼顧信息交流自由和本法所追求的個人信息保護之目的的規則。